Πριν από λίγο καιρό πραγματοποιήσαμε μια άλλη αξιολόγηση της συμμόρφωσης με τις απαιτήσεις του GOST R 57580 (εφεξής απλώς GOST). Ο πελάτης είναι μια εταιρεία που αναπτύσσει ένα σύστημα ηλεκτρονικών πληρωμών. Το σύστημα είναι σοβαρό: περισσότεροι από 3 εκατομμύρια χρήστες, περισσότερες από 200 χιλιάδες συναλλαγές καθημερινά. Παίρνουν πολύ σοβαρά την ασφάλεια των πληροφοριών εκεί.
Κατά τη διαδικασία αξιολόγησης, ο πελάτης ανακοίνωσε πρόχειρα ότι το τμήμα ανάπτυξης, εκτός από τις εικονικές μηχανές, σχεδιάζει να χρησιμοποιήσει κοντέινερ. Αλλά με αυτό, πρόσθεσε ο πελάτης, υπάρχει ένα πρόβλημα: στο GOST δεν υπάρχει λέξη για το ίδιο Docker. Τι πρέπει να κάνω? Πώς να αξιολογήσετε την ασφάλεια των εμπορευματοκιβωτίων;
Είναι αλήθεια, το GOST γράφει μόνο για εικονικοποίηση υλικού - για τον τρόπο προστασίας των εικονικών μηχανών, ενός hypervisor και ενός διακομιστή. Ζητήσαμε διευκρίνιση από την Κεντρική Τράπεζα. Η απάντηση μας μπέρδεψε.
GOST και εικονικοποίηση
Αρχικά, ας υπενθυμίσουμε ότι το GOST R 57580 είναι ένα νέο πρότυπο που καθορίζει «απαιτήσεις για τη διασφάλιση της ασφάλειας των πληροφοριών των χρηματοπιστωτικών οργανισμών» (FI). Αυτοί οι ΧΟ περιλαμβάνουν χειριστές και συμμετέχοντες σε συστήματα πληρωμών, πιστωτικούς και μη πιστωτικούς οργανισμούς, λειτουργικά κέντρα και κέντρα εκκαθάρισης.
Από την 1η Ιανουαρίου 2021, οι FI υποχρεούνται να διεξάγουν . Εμείς, η ITGLOBAL.COM, είμαστε μια ελεγκτική εταιρεία που διενεργεί τέτοιες αξιολογήσεις.
Η GOST έχει μια υποενότητα αφιερωμένη στην προστασία εικονικών περιβαλλόντων - Αρ. 7.8. Ο όρος "εικονικότητα" δεν προσδιορίζεται εκεί· δεν υπάρχει διαχωρισμός σε εικονικοποίηση υλικού και κοντέινερ. Οποιοσδήποτε ειδικός πληροφορικής θα πει ότι από τεχνική άποψη αυτό είναι λάθος: μια εικονική μηχανή (VM) και ένα κοντέινερ είναι διαφορετικά περιβάλλοντα, με διαφορετικές αρχές απομόνωσης. Από την άποψη της ευπάθειας του κεντρικού υπολογιστή στον οποίο αναπτύσσονται τα κοντέινερ VM και Docker, αυτή είναι επίσης μια μεγάλη διαφορά.
Αποδεικνύεται ότι η αξιολόγηση της ασφάλειας πληροφοριών των VM και των κοντέινερ θα πρέπει επίσης να είναι διαφορετική.
Οι ερωτήσεις μας προς την Κεντρική Τράπεζα
Τα στείλαμε στο Τμήμα Ασφάλειας Πληροφοριών της Κεντρικής Τράπεζας (παρουσιάζουμε τις ερωτήσεις σε συντομογραφία).
- Πώς να εξετάσετε τα εικονικά δοχεία τύπου Docker κατά την αξιολόγηση της συμμόρφωσης με το GOST; Είναι σωστό να αξιολογείται η τεχνολογία σύμφωνα με την υποενότητα 7.8 του GOST;
- Πώς να αξιολογήσετε τα εικονικά εργαλεία διαχείρισης κοντέινερ; Είναι δυνατόν να τα εξισώσουμε με στοιχεία εικονικοποίησης διακομιστή και να τα αξιολογήσουμε σύμφωνα με την ίδια υποενότητα του GOST;
- Χρειάζεται να αξιολογήσω ξεχωριστά την ασφάλεια των πληροφοριών μέσα στα κοντέινερ Docker; Εάν ναι, ποιες διασφαλίσεις πρέπει να ληφθούν υπόψη για αυτό κατά τη διαδικασία αξιολόγησης;
- Εάν η μεταφορά εμπορευματοκιβωτίων εξομοιώνεται με εικονική υποδομή και αξιολογείται σύμφωνα με την υποενότητα 7.8, πώς εφαρμόζονται οι απαιτήσεις GOST για την εφαρμογή ειδικών εργαλείων ασφάλειας πληροφοριών;
Η απάντηση της Κεντρικής Τράπεζας
Ακολουθούν τα κύρια αποσπάσματα.
«Το GOST R 57580.1-2017 θεσπίζει απαιτήσεις εφαρμογής μέσω της εφαρμογής τεχνικών μέτρων σε σχέση με τα ακόλουθα μέτρα ZI υποενότητα 7.8 του GOST R 57580.1-2017, τα οποία, κατά τη γνώμη του Τμήματος, μπορούν να επεκταθούν σε περιπτώσεις χρήσης εικονικοποίησης εμπορευματοκιβωτίων τεχνολογίες, λαμβάνοντας υπόψη τα ακόλουθα:
- η εφαρμογή των μέτρων ZSV.1 - ZSV.11 για οργάνωση αναγνώρισης, πιστοποίησης ταυτότητας, εξουσιοδότησης (έλεγχος πρόσβασης) κατά την εφαρμογή λογικής πρόσβασης σε εικονικές μηχανές και στοιχεία διακομιστή εικονικοποίησης μπορεί να διαφέρει από περιπτώσεις χρήσης τεχνολογίας εικονικοποίησης κοντέινερ. Λαμβάνοντας αυτό υπόψη, προκειμένου να εφαρμοστούν ορισμένα μέτρα (για παράδειγμα, ZVS.6 και ZVS.7), πιστεύουμε ότι είναι δυνατό να προτείνουμε στα χρηματοπιστωτικά ιδρύματα να αναπτύξουν αντισταθμιστικά μέτρα που θα επιδιώκουν τους ίδιους στόχους.
- Η εφαρμογή των μέτρων ZSV.13 - ZSV.22 για την οργάνωση και τον έλεγχο της αλληλεπίδρασης πληροφοριών εικονικών μηχανών προβλέπει την τμηματοποίηση του δικτύου υπολογιστών ενός χρηματοοικονομικού οργανισμού για τη διάκριση μεταξύ αντικειμένων πληροφορικής που εφαρμόζουν τεχνολογία εικονικοποίησης και ανήκουν σε διαφορετικά κυκλώματα ασφαλείας. Λαμβάνοντας αυτό υπόψη, πιστεύουμε ότι είναι σκόπιμο να προβλεφθεί η κατάλληλη τμηματοποίηση κατά τη χρήση της τεχνολογίας εικονικοποίησης κοντέινερ (τόσο σε σχέση με εκτελέσιμα εικονικά κοντέινερ όσο και σε σχέση με συστήματα εικονικοποίησης που χρησιμοποιούνται σε επίπεδο λειτουργικού συστήματος).
- Η εφαρμογή των μέτρων ZSV.26, ZSV.29 - ZSV.31 για την οργάνωση της προστασίας των εικόνων εικονικών μηχανών θα πρέπει να πραγματοποιείται κατ' αναλογία, επίσης, προκειμένου να προστατεύονται οι βασικές και τρέχουσες εικόνες εικονικών κοντέινερ.
- η εφαρμογή των μέτρων ZVS.32 - ZVS.43 για την καταγραφή συμβάντων ασφάλειας πληροφοριών που σχετίζονται με την πρόσβαση σε εικονικές μηχανές και στοιχεία εικονικοποίησης διακομιστή θα πρέπει να πραγματοποιείται κατ' αναλογία και σε σχέση με στοιχεία του περιβάλλοντος εικονικοποίησης που εφαρμόζουν την τεχνολογία εικονικοποίησης κοντέινερ."
Τι σημαίνει αυτό
Δύο βασικά συμπεράσματα από την απάντηση του Τμήματος Ασφάλειας Πληροφοριών της Κεντρικής Τράπεζας:
- Τα μέτρα για την προστασία των εμπορευματοκιβωτίων δεν διαφέρουν από τα μέτρα για την προστασία των εικονικών μηχανών.
- Από αυτό προκύπτει ότι, στο πλαίσιο της ασφάλειας πληροφοριών, η Κεντρική Τράπεζα εξισώνει δύο τύπους εικονικοποίησης - τα Docker containers και τα VMs.
Η απάντηση αναφέρει επίσης «αντισταθμιστικά μέτρα» που πρέπει να εφαρμοστούν για την εξουδετέρωση των απειλών. Είναι απλώς ασαφές ποια είναι αυτά τα «αντισταθμιστικά μέτρα» και πώς να μετρηθεί η επάρκεια, η πληρότητα και η αποτελεσματικότητά τους.
Τι φταίει η θέση της Κεντρικής Τράπεζας;
Εάν χρησιμοποιείτε τις συστάσεις της Κεντρικής Τράπεζας κατά τη διάρκεια της αξιολόγησης (και της αυτοαξιολόγησης), πρέπει να επιλύσετε ορισμένες τεχνικές και λογικές δυσκολίες.
- Κάθε εκτελέσιμο κοντέινερ απαιτεί την εγκατάσταση λογισμικού προστασίας πληροφοριών (IP) σε αυτό: προστασία από ιούς, παρακολούθηση ακεραιότητας, εργασία με αρχεία καταγραφής, συστήματα DLP (Αποτροπή διαρροών δεδομένων) και ούτω καθεξής. Όλα αυτά μπορούν να εγκατασταθούν σε ένα VM χωρίς προβλήματα, αλλά στην περίπτωση ενός κοντέινερ, η εγκατάσταση ασφάλειας πληροφοριών είναι μια παράλογη κίνηση. Το δοχείο περιέχει την ελάχιστη ποσότητα "συσκευής σώματος" που απαιτείται για τη λειτουργία της υπηρεσίας. Η εγκατάσταση ενός SZI σε αυτό έρχεται σε αντίθεση με το νόημά του.
- Οι εικόνες κοντέινερ θα πρέπει να προστατεύονται σύμφωνα με την ίδια αρχή· ο τρόπος εφαρμογής του είναι επίσης ασαφής.
- Το GOST απαιτεί περιορισμό της πρόσβασης στα στοιχεία εικονικοποίησης διακομιστή, δηλαδή στον υπερεπόπτη. Τι θεωρείται στοιχείο διακομιστή στην περίπτωση του Docker; Αυτό δεν σημαίνει ότι κάθε κοντέινερ πρέπει να εκτελείται σε ξεχωριστό κεντρικό υπολογιστή;
- Εάν για τη συμβατική εικονικοποίηση είναι δυνατή η οριοθέτηση των VM με περιγράμματα ασφαλείας και τμήματα δικτύου, τότε στην περίπτωση κοντέινερ Docker εντός του ίδιου κεντρικού υπολογιστή, αυτό δεν συμβαίνει.
Στην πράξη, είναι πιθανό κάθε ελεγκτής να αξιολογήσει την ασφάλεια των εμπορευματοκιβωτίων με τον δικό του τρόπο, με βάση τη δική του γνώση και εμπειρία. Λοιπόν, ή μην το αξιολογήσετε καθόλου, αν δεν υπάρχει ούτε το ένα ούτε το άλλο.
Για κάθε περίπτωση, θα προσθέσουμε ότι από την 1η Ιανουαρίου 2021, η ελάχιστη βαθμολογία δεν πρέπει να είναι χαμηλότερη από 0,7.
Παρεμπιπτόντως, δημοσιεύουμε τακτικά απαντήσεις και σχόλια από ρυθμιστικές αρχές που σχετίζονται με τις απαιτήσεις του GOST 57580 και των κανονισμών της Κεντρικής Τράπεζας .
Τι πρέπει να κάνετε
Κατά τη γνώμη μας, οι χρηματοπιστωτικοί οργανισμοί έχουν μόνο δύο επιλογές για την επίλυση του προβλήματος.
1. Αποφύγετε την εφαρμογή δοχείων
Μια λύση για όσους είναι έτοιμοι να αντέξουν οικονομικά να χρησιμοποιούν μόνο εικονικοποίηση υλικού και ταυτόχρονα φοβούνται τις χαμηλές βαθμολογίες σύμφωνα με το GOST και τα πρόστιμα από την Κεντρική Τράπεζα.
Συν: είναι ευκολότερο να συμμορφωθείτε με τις απαιτήσεις της υποενότητας 7.8 του GOST.
Μείον: Θα πρέπει να εγκαταλείψουμε νέα εργαλεία ανάπτυξης που βασίζονται στην εικονικοποίηση κοντέινερ, ιδίως το Docker και το Kubernetes.
2. Αρνηθείτε να συμμορφωθείτε με τις απαιτήσεις της υποενότητας 7.8 του GOST
Αλλά ταυτόχρονα, εφαρμόστε τις βέλτιστες πρακτικές για τη διασφάλιση της ασφάλειας των πληροφοριών κατά την εργασία με κοντέινερ. Αυτή είναι μια λύση για όσους εκτιμούν τις νέες τεχνολογίες και τις ευκαιρίες που παρέχουν. Με τον όρο "βέλτιστες πρακτικές" εννοούμε πρότυπα και πρότυπα αποδεκτά από τον κλάδο για τη διασφάλιση της ασφάλειας των εμπορευματοκιβωτίων Docker:
- ασφάλεια του λειτουργικού συστήματος υποδοχής, καταγραφή σωστά διαμορφωμένη, απαγόρευση ανταλλαγής δεδομένων μεταξύ κοντέινερ και ούτω καθεξής.
- χρησιμοποιώντας τη λειτουργία Docker Trust για τον έλεγχο της ακεραιότητας των εικόνων και τη χρήση του ενσωματωμένου σαρωτή ευπάθειας.
- Δεν πρέπει να ξεχνάμε την ασφάλεια της απομακρυσμένης πρόσβασης και το μοντέλο δικτύου στο σύνολό του: επιθέσεις όπως το ARP-spoofing και το MAC-flooding δεν έχουν ακυρωθεί.
Συν: δεν υπάρχουν τεχνικοί περιορισμοί στη χρήση εικονικοποίησης κοντέινερ.
Μείον: υπάρχει μεγάλη πιθανότητα ο ρυθμιστής να τιμωρήσει για μη συμμόρφωση με τις απαιτήσεις GOST.
Συμπέρασμα
Ο πελάτης μας αποφάσισε να μην εγκαταλείψει τα κοντέινερ. Ταυτόχρονα, έπρεπε να επανεξετάσει σημαντικά το εύρος των εργασιών και το χρονοδιάγραμμα της μετάβασης στο Docker (διήρκεσαν έξι μήνες). Ο πελάτης κατανοεί πολύ καλά τους κινδύνους. Κατανοεί επίσης ότι κατά την επόμενη αξιολόγηση της συμμόρφωσης με το GOST R 57580, πολλά θα εξαρτηθούν από τον ελεγκτή.
Τι θα κάνατε σε αυτή την κατάσταση;
Πηγή: www.habr.com